Os seguintes tipos de funções podem ser concedidos no servidor do VMware Identity Manager

As três funções de administrador predefinidas incluem o seguinte.

  • Função de superadministrador que pode acessar e gerenciar todos os recursos e funções nos serviços do VMware Identity Manager.

    O primeiro superadministrador é o usuário de administrador local que o VMware Identity Manager cria ao configurar o serviço pela primeira vez. O serviço cria o administrador no Domínio do Sistema do Diretório do Sistema. Você pode atribuir a outros usuários à função de superadministrador no Diretório do Sistema. Como uma prática recomendada, conceda a função de superadministrador para poucos selecionados.

  • Função de administrador somente leitura que pode exibir os detalhes nas páginas do console do VMware Identity Manager, incluindo o painel e os relatórios, mas não pode fazer alterações. Todas as funções de administrador são atribuídas automaticamente à função somente leitura.
    Observação: Algumas páginas do console do Identity Manager não estão habilitadas para serem vistas por um administrador com direito apenas para a função de somente leitura. Quando os administradores de somente leitura tentam visualizar essas páginas, eles são redirecionados para o painel.
  • Função de administrador de diretório que pode gerenciar usuários, grupos e diretórios. O administrador de diretório pode gerenciar a integração de diretórios para os diretórios corporativos e locais dentro da sua organização. O administrador de diretório também pode gerenciar usuários e grupos locais.
Figura 1. Guia Funções no Console do VMware Identity Manager

Você pode atribuir estas funções predefinidas a usuários e grupos no seu serviço. Você não pode modificar ou excluir essas funções.

Você também pode criar funções de administrador personalizadas que dão permissões limitadas a serviços específicos no console do VMware Identity Manager. No serviço, operações específicas podem ser selecionadas como o tipo de ação que pode ser realizada na função.

Várias funções podem ser atribuídas aos mesmos usuários e grupos. Quando um usuário é atribuído a mais de uma função, o comportamento das funções aplicadas é aditivo. Por exemplo, se um administrador estiver atribuído a duas funções, uma com acesso de gravação ao gerenciamento de políticas e outra sem, esse administrador terá acesso para modificar políticas.

O controle de acesso baseado em funções pode ser configurado para gerenciar os serviços a seguir no console do administrador.

Tipo de serviço

Descrição do serviço

Catálogo

O Catálogo é o repositório de todos os recursos do Workspace ONE que podem ser autorizados aos usuários.

O serviço de Catálogo pode gerenciar os tipos de ações a seguir.

  • Aplicativos Web
  • Origens do aplicativo
  • Aplicativos de terceiros
  • Coleção de Aplicativos Virtuais do ThinApp
  • Coleção de Aplicativos Virtuais, que inclui o Horizon, o Horizon Cloud e os aplicativos baseados no Citrix.
Observação: Um superadministrador é necessário para iniciar o fluxo de Introdução na página Coleção de Aplicativos Virtuais no Catálogo. Após o fluxo de introdução inicial, as funções de administrador com o serviço de Catálogo podem gerenciar pacotes ThinApp e aplicativos do Desktop. Consulte Usando as Coleções de Aplicativos Virtuais para integrações da área de trabalho no guia Configurando recursos no VMware Identity Manager 3.2.
Gerenciamento de Diretório

O serviço de Gerenciamento de Diretório pode gerenciar os seguintes tipos de ações para a organização ou para diretórios específicos em sua organização.

  • Diretório Corporativo. O administrador pode adicionar, editar e excluir diretórios no serviço. A edição de um diretório inclui o gerenciamento de configurações de diretório, incluindo configurações de sincronização.
  • Diretório Local. O administrador pode criar, editar e excluir diretórios locais. A edição de um diretório inclui gerenciamento de configurações e a criação, edição e exclusão de usuários e grupos locais.

Quando o serviço de Gerenciamento de Diretório é incluído em uma função, o serviço de Gerenciamento de Identidade e Acesso também deve ser configurado na função.

Usuários e Grupos

O serviço de Usuários e Grupos pode gerenciar os seguintes tipos de ação em sua organização total ou para domínios específicos em sua organização.

  • Grupos
  • Usuários
  • Redefinições de senha para usuários locais
Direitos

O serviço de Direito pode atribuir os usuários a aplicativos Web e virtuais.

Os seguintes tipos de ações de direito podem ser gerenciados. Para cada uma dessas ações, você pode configurar a função para atribuir usuários e grupos a todos os recursos na sua organização ou a aplicativos específicos. Você também pode autorizar aplicativos a usuários e grupos dentro de domínios específicos.

  • Direitos da Web
  • Direitos de terceiros
Administração de Funções

O serviço de Administração de Funções pode gerenciar a atribuição da função de administrador a usuários.

Ao criar uma função com o serviço de Administração de Funções, você deverá configurar o serviço de Usuários e Grupos e selecionar as ações de Gerenciar Usuários e Gerenciar Grupos.

Os administradores que recebem essa função podem promover usuários e grupos para a função de administrador e podem remover a função de administrador de usuários ou grupos.

Gerenciamento de Identidade e Acesso

O serviço de Gerenciamento de Identidade e Acesso pode gerenciar as configurações na guia Gerenciamento de Identidade e Acesso. Para gerenciar as configurações de diretório, o serviço de Gerenciamento de Diretório também é necessário.

Observação: Os administradores com a função de Gerenciamento de Identidade e Acesso podem integrar o VMware Identity Manager ao Workspace ONE UEM e criar o diretório a partir do Workspace ONE UEM Console.

Ao adicionar uma função, selecione o serviço e defina quais ações podem ser executadas no serviço. Em alguns dos serviços, você pode selecionar para gerenciar todos os recursos para a ação selecionada ou alguns recursos.

Gerenciar o acesso somente leitura

O Acesso Somente Leitura é concedido em cada função que é atribuída a um administrador. Você também pode atribuir usuários e grupos à função somente leitura na página Funções de Administrador Somente Leitura.

A função de administrador somente leitura concede aos usuários o acesso de administrador para exibir o console do VMware Identity Manager, mas, a menos que um administrador receba outra função com acesso adicional, eles só poderão exibir o conteúdo no console do VMware Identity Manager.

Quando você atribui a função somente leitura como uma função separada, você pode remover a função da página Atribuir da função de Administrador Somente Leitura ou da página de perfil do usuário ou grupo.